Fidye Yazılımı Sızdıran Siteler Saldırıların Rekor Seviyeye Ulaştığını Gösteriyor

Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı

RansomHub, Play ve Akira Hakim Görünüyor; Çok Sayıda Yeni Gelen Mücadeleye Katılıyor

Mathew J. Schwartz (euroinfosec) •
15 Ocak 2025

Fidye yazılımı korsanları, sızıntı sitelerine inanılırsa harika bir Aralık ayı geçirdiler ve toplu olarak bir aylık dönemde görülen en fazla sayıda kurbanı listelediler.

Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?

Saldırganlar Aralık ayında 621 kurban talep etti; bu sayı, artan dijital gasp dalgasının bir parçasıydı; Kasım ayında 584, Ekim ayında ise 542 kurban ilan edilmişti. Rakamlar güvenlik operasyonları platformu ReliaQuest’ten geliyor. Üç ayda toplam 1.747 mağdur (937’si ABD kuruluşu dahil) önceki çeyreğe göre %43’lük bir artışı temsil ediyor.

ReliaQuest, “Bu artışın arkasındaki temel faktör muhtemelen fidye yazılımı ekosisteminin büyümesidir. 2022’de yaklaşık 60 aktif fidye yazılımı grubu vardı, ancak 2024 yılına gelindiğinde bu sayı neredeyse 100’e yükseldi.” dedi. “Oyunda çok daha fazla grup varken, rekor düzeyde aktivite görmemiz şaşırtıcı değil.”

Diğer uzmanlar ise farklı görüşte. Tehdit istihbarat firması RedSense’in ortağı olan fidye yazılımı araştırmacısı Yelisey Bohuslavskiy, “Muhtemelen açıklama yıl sonu dökümüdür: ödeme yapmayan ancak henüz yayınlanmayan kurbanlar Ocak tatilinden önce bloglara eklenmiştir” dedi. “Bu, bu grupların bilinen yayınlama kalıplarıyla uyumludur.”

ReliaQuest ayrıca 2024’ün sonunda ortaya çıkan 13 yeni grubu da saydı:

• Ekim: Interlock, Nitrojen, PlayBoy, Sarkom;
• Kasım: Argonauts Group, Chort, Hellcat, Kairos, SafePay, Termite;
• Aralık: BlueBox, Funksec, LeakedData.

Bu gruplardan bazıları halihazırda önemli sayıda kurbanın olduğunu iddia etti. FunkSec 82, SafePay ise 45 kurban olduğunu iddia etti. Dikkat çekici bir şekilde, bu gruplar bir zamanlar başarılı olan Black Basta operasyonunun aynı çeyrekte listelediği 54 kurbanın yanı sıra, geçen yılın başında kolluk kuvvetleri tarafından kesintiye uğratılmasının ardından Aralık ayında LockBit tarafından listelenen beş kurbanı geride bıraktı veya neredeyse aştı. Buna rağmen grup “en son sürümü olan LockBit 4.0’ı tanıtarak geri adım atmayacağı mesajını verdi” dedi. LockBit’in blöf yapıp yapmadığı belirsizliğini koruyor.

Fidye yazılımı gruplarının veri sızıntısı sitelerinde listelenen kurbanlara bakıldığında, 2024’ün son üç ayında liderler RansomHub oldu ve onu Play ve Akira izledi. Sızıntı yapan site verilerinin herhangi bir analizi büyük ölçüde uyarıda bulunur: Siber suçlular becerilerini abartırlar ve kayıtlarını süslemeseler bile, sızıntı sitelerini ilk yalvarışlara bir haraç ödemesi ile yanıt vermeyen kurbanlara kamuya açık bir şekilde baskı yapmanın bir yolu olarak kullanırlar. Sızıntı yapan site verileri, mağdur sayısını aynı anda hem eksik hem de fazla bildirebilir.

Kurban olduğu iddia edilenlerin sayısındaki artış, geçen Ağustos ayında blockchain analiz firması Chainasis’in, 2023’te bilinen 1,1 milyar dolarlık rekor kıran kârın ardından 2024’te fidye yazılımı kârının rekor kıracağını söylemesinin ardından geldi. Fidye ödeyen kurban sayısı azalsa da, firma ortalama şantaj ödemesinin 2023 başında yaklaşık 200.000 dolardan Haziran 2024’te 1,5 milyon dolara yükseldiğini buldu (bkz: Fidye Yazılımı Yeniden Rekor Kıran Kârlar Elde Etme Yolunda).

Clop Kurbanların İsimlerini Açıklamaya Başladı

Son çeyreğe ait saldırılarla ilgili daha fazla ayrıntı gün ışığına çıkmaya devam ediyor. Clop – diğer adıyla Cl0p – fidye yazılımı grubu bu hafta, Aralık ayında Cleo Communications tarafından geliştirilen yönetilen dosya aktarım yazılımı kullanıcılarına yönelik görünüşte yarı engellenmiş bir toplu saldırıda saldırdığını iddia ettiği 66 kurbanın 59 kurbanını listeledi. Bazı fidye yazılımı gruplarının aksine, Clop, verileri kötü niyetli bir şekilde şifreleme adımını atlayarak, yalnızca çalmak ve yayınlanmasını tehdit etmek için yalnızca gasp amaçlı saldırılara yöneldi (bkz.: Çevrimiçi Gasp Çetesi Clop, Cleo Hack Kurbanlarını Tehdit Ediyor).

Grubun iddia edilen kurbanlarından bazıları arasında Arizona merkezli tedarik zinciri yönetimi yazılım sağlayıcısı Blue Yonder, Atlanta merkezli EspriGas, Atlanta, Phoenix merkezli Western Alliance Bank, Hollandalı yazılım geliştiricisi C3Group, Avustralyalı ulaşım yakıtı tedarikçisi Ampol ve Kanadalı Polaris Transport yer alıyor.

Bu Rakamlar Yalan Olabilir

Sitelerinde veri sızıntısı blog listesi yayınlayan mağdur gruplarının sayısını saymak, hangi grupların oyunda kaldığını, hangilerinin en aktif olduğunu ve en büyük riski oluşturduğunu belirlemeye çalışmanın bir yoludur. Ağlara sızmak için en sevdikleri teknikler ne olursa olsun, kuruluşlar bunları engellemek için doğru savunmayı sağlamalıdır.

Aynı zamanda fidye yazılımı grupları düzenli olarak yalan söylüyor. Bazıları sahte kurbanları listeliyor veya kurbanları başkalarıyla çapraz olarak paylaşıyor. Bu gruplar, miktarı bir yana, kaç kurbanın fidye ödediğini hiçbir yerde açıklamıyor. Ayrıca gruplar sıklıkla çalınan verileri sızdırmakla tehdit etse de, gerçekten verileri çalıp çalmadıkları belli değil. Yetkililer, verileri silme sözü için bilgisayar korsanlarına ödeme yapmanın aptalca olduğu konusunda uyarmaya devam ediyor ve herhangi bir saldırganın böyle bir sözü yerine getirdiğine dair hiçbir kanıt yok.

Bunu yapmayan kurbanların listelerini yayınlamak, pazarlama saptırması yapmak, grupların aşırı kendini tanıtmalarına alet olmaktır. Birçoğu, kurbanlardan veri çalmak ve potansiyel olarak kripto kilitleyen kötü amaçlı yazılım dağıtmak için bağlı kuruluşlara güvenen hizmet olarak fidye yazılımı operasyonları yürütüyor. Gruplar, hem en iyi iş ortaklarını çekmek hem de gelecekteki mağdurları korkutarak hızlı ve sessiz bir şekilde ödeme yapmalarını sağlamak için mümkün olduğu kadar büyük ve kötü görünmek ister.

Bu bir Conti, Conti, Conti, Conti Dünyası

Bu tür uyarılara rağmen, veri sızıntısı siteleri fidye yazılımı markasının düşüşünü takip edebiliyor; buna örnek olarak, kamuya açık olarak mağdur olduğu iddia edilen Conti yan grubu Black Basta’nın sayısı düşüyor.

Black Basta’nın, ofis saatleri gibi bürokratik dayanak noktaları da dahil olmak üzere iyi yapılandırılmış bir işletme olarak yönetildiği görülüyor. Ayrıca haziran ayından ağustos ayına kadar yaz tatili. Ancak RedSense’ten Bohuslavskiy, bir gönderisinde, geçen Nisan ve Mayıs aylarında gerçekleşen bir dizi saldırının ardından nispeten sessizliğe büründüğünü, ABD kolluk kuvvetlerinin Ağustos 2023’te bunu engellemesine kadar grubun güvendiği kötü amaçlı yazılım olan Qbot, diğer adıyla Qakbot’un yerini alacak bir şeyin olmaması nedeniyle sekteye uğradığını söyledi. LinkedIn’e (bkz.: ‘Ördek Avı’ Operasyonu Qakbot’u Parçaladı).

Black Basta ciddi sorunlarla karşı karşıya olsa bile grubun aniden kapanmasını beklemeyin. Bohuslavskiy, “Basta muhtemelen Rus devletiyle işbirliği yapıyor; diğer Conti sonrası grupların kaçınma eğiliminde olduğu bir şey bu.” dedi. “Bu işbirliği onlara 2025 için bir pist sağlayacak, ancak grup geçmişte sahip olduğu yetenekleri asla geri getiremeyebilir.”

Black Basta’nın yıldızı düşerken, Conti yan ürünü Akira’nın “aynı dönemde faaliyetlerde bir artış görmüş gibi göründüğünü, bu da Basta’dan Akira’ya potansiyel yetenek göçüne işaret ettiğini” söyledi. Bu, Akira’nın aksamasının ardından LockBit’ten yetenek kaçırdığı ilk sefer olmayacak.

ReliaQuest’in bildirdiğine göre Akira, kurbanlar açısından 2024’ün dördüncü çeyreğinde üçüncü çeyreğe göre iki kat daha fazla sayıda kurban listeledi; bunların arasında yalnızca Aralık 2024’teki 71 kişi de bulunuyor. Bu saldırıların çoğunun, büyük ölçüde grubun SonicOS’teki uygunsuz bir erişim kontrolü güvenlik açığından yararlandığına dair izlerim olduğu, geçen ağustos ayında yamalandığı ve CVE-2024-40766 olarak izlendiği belirtildi.

“Dahili ağlara erişim kazanmak için Akira, çok faktörlü kimlik doğrulaması devre dışı bırakılmış yerel hesapları ve istismara karşı savunmasız olan ve genellikle sanal özel ağ erişimi için internete maruz kalan SonicOS donanım yazılımı sürümlerini hedef aldı” dedi. “Saldırganlar içeri girdikten sonra yana doğru hareket etti, verileri çaldı, fidye yazılımı yerleştirdi ve kalıcı erişim için arka kapılar kurdu.”

SonicOS’e ve diğer ağ uç cihazlarına karşı tekrarlanan saldırıların beklendiğini belirtti (bkz: Sıfır Gün Yama Uyarısı: Ivanti Connect Saldırı Altında Güvenli).